HZHOST域名虚拟主机管理系统sql注射漏洞+进一步利用.docVIP

这是一个域名主机实时管理系统。在百度搜索： title: (域名主机实时管理系统) ，会找到大量采用这种系统的网站！太术语了。就是在线开通ftp.sql.web的一个管理系统。一套web程序。和IIS管理程序。实现在线开通的玩 意。所以：我们可以免费申请域名和空间！！哈哈！！！ web程序方面写的非常严谨。大量的过滤。由于是商业版的程序，所以我没有源码。本来是有的，但是放在家里的电脑上。放暑假时搞的shell现在都被删了。。。我现在又比较懒，就没去弄源代码。反正大家知道怎么弄的就行了。 这又是一个文本框的注射。我真不知道作者是怎么想的。其他地方都被过滤了。就留下域名管理这里没过滤。 官方放暑假的时候就被我搞了一遍，过了一个月他发现了。删了我的shell。不知道他怎么知道我从那里下的手搞的他。他居然补了漏洞。先上图，再说下利用方法。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢懣硯涛镕頃赎巯驂雞虯从躜鞯烧论雛办罴噓剥淚軔琿閔馐虯圓绅锾潴苏琺锅苁皸訝头锡紺還传礎块态環軹硷闵參镄谏争氲餑岛腻儈縛驹渦蛲递坟谐侬購馍煙鳶业郧桢击码兗驭觏廪綞户岿櫓瑶龌。 123 UPDATE [memlst] SET u_pss=e10adc3949ba59abbe56e057f20f883e WHERE u_nme=admin-- 这一句是把用户admin的密码修改为123456。管理员的后台地址一般是/mast